Google introduceert GUAC. De nieuwe securitytool combineert data uit verschillende bronnen om ontwikkelaars te helpen bij het analyseren van software security.

Google ontwikkelde de tool in samenwerking met Citibank NA, Purdue en Kusari. GUAC helpt bij het vinden van kwetsbaarheden in software voordat de software in een omgeving wordt geïmplementeerd. GUAC voert complexe analyses uit om hardnekkige dreigingen te detecteren. Met behulp van GUAC kunnen softwareontwikkelaars afzonderlijke codecomponenten scannen om de security van software beter te begrijpen.

“Om iets complex als de straal van een kwetsbaarheid te begrijpen, moet men de relatie tussen een component en al het andere traceren – een taak die duizenden metadata-documenten over honderden bronnen kan beslaan”, vertelden de engineers van het open-source securityteam van Google in een blogpost. “In het open-source ecosysteem kan het aantal documenten in de miljoenen lopen.”

GUAC combineert gegevens uit verschillende bronnen

De meeste ontwikkelaars proberen de security van software te waarborgen voordat de software in een omgeving wordt geïmplementeerd. Dit proces kan veel tijd en moeite kosten, aangezien de technische gegevens van meerdere systemen uitgebreid gecontroleerd moeten worden. Dat is waar GUAC om de hoek komt kijken. De tool verzamelt en organiseert gegevens uit verschillende bronnen, zodat ontwikkelaars de beveiliging van software snel kunnen beoordelen.

GUAC voegt SBOM-gegevens samen met SLSA en OpenSSF Scorecards. Met SLSA kunnen ontwikkelaars cryptografische handtekeningen toevoegen aan softwarecode. Door cryptografische handtekeningen te controleren kunnen bedrijven bepalen of code afkomstig is van een betrouwbare bron. Daarnaast helpt GUAC ontwikkelaars bij het scannen van OpenSSF Scorecards om potentiële cyberbeveiligingsproblemen op te sporen.

Zodra alle gegevens zijn verwerkt kunnen gebruikers de database bekijken om te beoordelen of de betreffende applicatie aan hun cyberbeveiligingseisen voldoet. GUAC bevindt zich op dit moment in een ‘proof-of-concept-fase’. De tool wordt doorontwikkeld om nog meer soorten securitydata te ondersteunen.

Tip: CEO OutSystems: “Shift-left past heel goed bij ons low-code platform”